С 30 мая 2025 года кратно вырастут штрафы за нарушение правил работы с персональными данными. Кроме того, власти ввели уголовную ответственность для тех, кто хранит, собирает или использует персональные данные, полученные незаконным путем. Причем наказывать за это начнут уже в этом году (Федеральные законы от 30.11.2024 № 420-ФЗ, № 421-ФЗ).
Когда компания запрашивает Ф. И. О., реквизиты паспорта, контактные номера телефонов, чтобы, к примеру, выписать разовый пропуск для проезда на территорию, ее признают оператором персональных данных (п. 2 ст. 3 Федерального закона от 27.07.2006 № 152‑ФЗ). Значит, компания должна соблюдать особые требования по работе с такими сведениями. В частности, уведомлять Роскомнадзор о намерении их обрабатывать, если использует для этого электронные информационные системы; хранить сведения о гражданах РФ только на внутрироссийских серверах; сообщать о трансграничной передаче и принимать все меры, чтобы обеспечить безопасность их хранения. Все операторы обязаны составить внутренний документ, определяющий политику в отношении обработки персональных данных (п. 2 ч. 1 ст. 18.1 Закона № 152-ФЗ).
Обрабатывать персональные данные можно в строго установленных целях. Сейчас за нарушение этих требований компанию могут оштрафовать на сумму от 60 до 100 тыс. руб. Но с 30 мая 2025 года наказывать за неправомерную обработку уже будут строже — на 150–300 тыс. руб.
За утечку персональных данных компаниям грозят миллионные штрафы. Размер будет зависеть от объема потерянных данных. Так, за действия или бездействие, которые привели к утечке данных от 1 до 10 тыс. человек, штраф составит:
- для некоммерческих организаций — от 200 тыс. до 400 тыс. руб.;
- для бизнеса — от 3 млн до 5 млн. руб.
Если утечка будет массовой, то есть потеря данных более 100 тыс. человек, придется заплатить до 15 млн. руб. (ч. 14 ст. 13.11 КоАП в ред. Закона № 420-ФЗ). Выросли штрафы за утечку биометрических и специальных данных (о состоянии здоровья, политических взглядах и т. д.). Наказать могут от 10 до 20 млн. руб.
Появилась ответственность за неуведомление Роскомнадзора о действиях с персональными данными. Если этого не сделать или сделать несвоевременно, компанию оштрафуют от 100 до 300 тыс. руб. Если сведения в представленном ранее уведомлении изменятся, направьте в Роскомнадзор дополнительное уведомление (письмо Роскомнадзора от 24.05.2024 № 45697-10/77).
Если произойдет утечка персональных данных и компания несвоевременно сообщит об этом Роскомнадзору или не сообщит вообще, штраф составит от 1 до 3 млн. руб.
Впервые вводят уголовную ответственность за незаконную передачу компьютерной информации с персональными данными. Также накажут за создание и работу ресурсов для хранения такой информации — могут лишить свободы на срок до 4 лет (Закон № 421-ФЗ). Причем эти поправки вступили в силу уже 11 декабря 2024 года.
Больше информации в нашем Telegram — https://t.me/consage